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Dans ce panorama de la menace informatique, l'ANSSI revient sur les grandes tendances ayant marqué le paysage 
Cyber sur l'année 2020-2021 et en propose des perspectives d'évolution à court terme. Ces tendances s'inscrivent 
dans une hausse continue du niveau de menace. Ainsi, l'ANSSI a eu connaissance de 1082 intrusions avérées dans 
des systèmes d'information en 2021, pour 786 en 2020. Cela représente une hausse de 37 % des intrusions avérée 
dans l'année. Cette hausse s'explique par l'évolution et l'amélioration constante des capacités des acteurs mal- 
veillants dont les principales intentions restent le gain financier, l'espionnage et la déstabilisation. Ces acteurs 
ont su saisir une multitude d'opportunités offertes par la généralisation d'usages numériques souvent mal 
maitrisés. Une vigilance particuliére est par conséquent nécessaire dans le cadre d'événements majeurs en France 
tels que la présidence frangaise de l'Union européenne, les élections présidentielles et législatives en 2022 et les 
Jeux Olympiques de Paris 2024 qui sont autant d'opportunités contextuelles à exploiter pour des attaquants. 


L'évolution de l'écosystéme cybercriminel est marquée par une professionnalisation et une spécialisation 
constantes, cause et conséquence de la maturité et des gains financiers acquis par ses acteurs. Les rançongiciels 
vendus en tant que service (RaaS) et les entreprises peu regardantes qui offrent à des acteurs malveillants des ca- 
pacités d'hébergement (Bullet Proof Hosters) en sont une parfaite illustration. Les acteurs cybercriminels adoptent 
également des modes opératoires semblables à ceux d'acteurs soutenus par des gouvernements, en préparant mi- 
nutieusement leurs opérations, en persistant sur les réseaux de leurs victimes pendant de longues périodes à la 
recherche de ressources d'intérét et parfois en exploitant des vulnérabilités inconnues 0-Day. Par ailleurs, cette 
mise à disposition d'outils et services malveillants préts à l'emploi pourrait profiter à d'autres types d'attaquants, 
notamment motivés idéologiquement tels que les hacktivistes. 


Les attaquants étatiques s'inspirent également des méthodes cybercriminelles en s'appropriant des codes et 
outils traditionnellement utilisés par les attaquants cybercriminels tels que des rançongiciels ou des techniques 
d'hameconnage. Pour se dissimuler, ils exploitent des outils légitimes présents sur les réseaux des victimes, échap- 
pant ainsi à la détection (selon la technique du living-offthe-land - LotL). Cette porosité entre différents profils 
d'attaquants complique la caractérisation des activités malveillantes. 


Le développement de capacités offensives par des entreprises privées telles que NSO Group rendent accessibles 
des capacités parfois de pointes à des acteurs n'ayant pas les moyens de les développer ou souhaitant maintenir une 
possibilité de déni plausible. Cette mise à disposition de capacités avancées parfois trés sophistiquées participe 
à la hausse générale du niveau de menace en multipliant ses sources et en favorisant un usage décomplexé des 
cyberattaques. 


Si les attaques à finalité lucrative ont occupé la scène médiatique, elles ne doivent pas occulter les campagnes 
d'espionnage, par essence moins visibles, et celles conduites dans un objectif de sabotage informatique. 


L'espionnage informatique reste la principale finalité poursuivie par les attaquants étatiques et constitue l'es- 
sentiel de l'activité traitée dans le cadre des opérations de cyberdéfense conduites par l'ANSSI. Dans certains cas, 
l'espionnage informatique peut étre facilité par la mise en place ou le détournement de dispositifs juridiques. 


Le ciblage d'infrastructures critiques reste également une préoccupation majeure. Plusieurs acteurs cybercrimi- 
nels ont ainsi ciblé sur le territoire français des hôpitaux à l'aide de rançongiciels paralysant l'activité de structures 
vitales. La multiplication des opérations de démantèlement, les arrestations de réseaux cybercriminels menées par 
le biais de coopérations internationales ainsi que les prises de position de plusieurs États, notamment les États-Unis, 
semblent avoir eu un effet sur le ciblage des infrastructures critiques. Les cybercriminels pourraient ainsi éviter de 
compromettre volontairement ce type de structure dans un avenir proche. Cependant leur ciblage par des acteurs 
réputés étatiques devrait se poursuivre en partie en cas de tensions géopolitiques fortes comme entre Israél et 
l'Iran où plusieurs infrastructures critiques ont fait l'objet d'attaques informatiques (approvisionnement en eau, 
en énergie). Des entités françaises implantées à l'étranger pourraient ainsi être des victimes collatérales de ce type 
d'opérations. 


Enfin, des attaques informatiques mises à profit d'opérations d'influence et de déstabilisation sont à anticiper 
notamment à l'approche d'événements majeurs en France. En effet, de plus en plus d'opérations informationnelles 
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s'appuient sur des compromissions informatiques permettant d'exfiltrer des documents et d'obtenir des accés ini- 
tiaux, à l'image de la campagne « Ghostwriter ». Cette campagne a été attribuée à la Russie par de nombreux 
partenaires de l'ANSSI et a touché, entre autres, la Pologne et l'Allemagne en 2021. 


Que ce soit dans le cadre d'opérations d'extorsion, d'espionnage, d'influence ou de déstabilisation, les atta- 
quants bénéficient pleinement de la fragilité des infrastructures numériques. 


L'année 2020-2021 a ainsi vu une explosion du nombre de vulnérabilités 0-Day exploitées, majoritairement par 
des acteurs étatiques, mais également par quelques groupes cybercriminels notamment au cours de l'attaque du 
2 juillet 2021 contre le fournisseur de solution d'administration à distance Kaseya. Ce dernier exemple rappelle 
également qu'une attention particuliére doit étre accordée aux attaques ciblant la chaine d'approvisionnement 
(supply chain), une méthode particuliérement prisée par les attaquants. Cette tendance présente des risques de 
propagation rapide depuis un éditeur de logiciels ou une entreprise de services numériques ciblés, avec un risque de 
compromission en cascade. Les attaquants ont également su tirer profit des nouveaux usages numériques souvent 
mal maitrisés tels que le Cloud à des fins lucratives et d'espionnage. 


La multiplication des attaques informatiques a conduit à une explosion des fuites de données notamment person- 
nelles. Qu'elles soient issues de divulgations effectuées par des opérateurs de rançongiciels, d'opérations de désta- 
bilisation ou de revente d'informations par des cybercriminels, ces données alimentent un cercle vicieux. En effet, 
elles facilitent de nombreuses attaques informatiques en fournissant des portes d'entrée aux attaquants. 


La propagation rapide à l'ensemble d'un systéme d'information peut étre entravée par deux mesures de 
défense principales : 

* la protection des administrateurs systèmes, en particulier pour les domaines Active Directory. Leurs 
comptes d'administration ne doivent idéalement jamais étre utilisés pour un usage de navigation in- 
ternet, de messagerie ou de bureautique; 

* ]a segmentation réseau stricte, limitant les possibilités de flux entre des zones dédiées à des usages 
différents (par exemple selon les métiers, les emprises géographiques ou la typologie des machines). 


L'utilisation de gestionnaires de mot de passe, l'activation généralisée de l'authentification à multiples fac- 
teurs et une sensibilisation des utilisateurs aux mots de passe forts pourraient réduire significativement les 


possibilités des attaquants. Une révision des politiques de mise à jour au sein des organisations et le cloison- 
nement des réseaux permettraient également de ralentir voire éviter de nombreuses attaques informatiques. 


LANSSI vous invite à consulter les guides « Recommandations relatives à l'authentification multifac- 
teur et aux mots de passe» (https://www.ssi.gouv.fr/administration/guide/recommandations- 
relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/) et « Attaques par rançon- 
giciels, tous concernés - Comment les anticiper et réagir en cas d'incident » (https://www.ssi.gouv. 
fr/administration/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper- 
et-reagir-en-cas-dincident/). 
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1. Des acteurs offensifs aux capacités en constante 
progression 


1.1. Cybercriminalité : spécialisation et professionnalisation des acteurs 


À l'image de la criminalité organisée traditionnelle, la cybercriminalité constitue un réseau économique associant 
des fournisseurs de services spécialisés dont les membres collaborent plus ou moins étroitement en fonction des 
opportunités et des objectifs du moment. Cette organisation est à la fois la cause et la conséquence de la maturité 
qua atteint l'écosystéme cybercriminel, alimenté directement par ses gains financiers, estimés à plus d'un milliard 
d'euros par an. 


Cet écosystème s'est spécialisé autour d'une galaxie de métiers et de rôles correspondant souvent aux différentes 
étapes d'une attaque informatique. Les acteurs cybercriminels se spécialisent ainsi en fournisseurs de services pro- 
posant des codes malveillants, des infrastructures d'anonymisation, des accés à des réseaux compromis (Access Bro- 
ker), des réseaux de machines zombies botnet, des services d'envoi de pourriels ou encore de blanchiment d'argent. 
Trés peu de groupes cybercriminels possèdent en interne l'ensemble de ces compétences. Ces groupes sont cepen- 
dant susceptibles de fournir plusieurs types de services à l'image d'Evil Corp qui opére à la fois des rangongiciels 
depuis 2017 et distribue la porte dérobée Dridex [1] [2]. 


Courriel d'hameconnage Distribution de QakBot ou d'IcedID Latéralisation via Cobalt Strike 
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Fig. 1.1. - Chaine d'infection récapitulative associée au groupe cybercriminel Lockean. 


Cette spécialisation et ces offres de services entrainent une multiplication des chaines d'infection potentielles et 
compliquent leur détection et leur suivi. Toutefois, certains services malveillants à l'image d'Emotet [3] ou encore 
Cobalt Strike deviennent des codes ou des noeuds d'infrastructures trés répandus dont le suivi et le blocage per- 
mettent ainsi d'arréter une attaque dés les premières étapes de la chaine d'infection. 


Les Bullet Proof Hosters (« Hébergeurs pare-balles ») illustrent aussi parfaitement ce phénomène de spécialisation. 
Ces hébergeurs sont ainsi particuliérement conciliants vis-à-vis de leurs clients, en fournissant des services largement 
utilisés par des acteurs malveillants. Ces hébergeurs se caractérisent par : 


* une politique de Know Your Client (KYC) inexistante ; 
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* un paiement en cryptomonnaies; 

* l'offre fréquente d'un service de changement de DNS très rapide ou DNS Fast Flux; 

* un contróle inexistant voire la promotion explicite d'activités malveillantes; 

* un hébergement des infrastructures dans des juridictions hors d'atteinte des traités de coopération judiciaire. 


Ces hébergeurs « pare-balles » sont utilisés par de nombreux groupes cybercriminels pour louer des ressources 
techniques. Plusieurs d'entre eux ont fait l'objet d'investigation en source ouverte comme Yalishanda [4], Dr. Samuil 
[5], CCWeb ou encore BraZZZersS [6]. 


Commentaire : Un blocage préventif de leurs sous-réseaux voire des systémes autonomes correspondant (Autonomous 
Systems - AS) peut améliorer grandement la sécurité d'une organisation. Cependant, des effets de bord sont possibles. 


Les rançongiciels et notamment ceux vendus en tant que service (Ransomware-a-a-Service - RaaS) illustrent égale- 
ment ces phénomènes de spécialisation et professionnalisation de l'écosystéme cybercriminel. Ils font intervenir 
un ensemble de groupes et de personnes, parfois spécifiquement recrutées en fonction de leurs compétences à 
l'instar de FIN7 [7]. Un revendeur d'accés ou access broker peut ainsi procéder à des scans de vulnérabilités pour 
identifier des cibles potentielles, en moyenne dans un délai de 48 h aprés la divulgation d'une vulnérabilité et d'une 
méthode d'exploitation. Ce revendeur peut également opérer un service d'hameconnage ciblé ou non qui reste le 
vecteur de primo-infection le plus courant. Les accés ainsi obtenus sont partagés à d'autres attaquants, disposant 
par exemple d'expertise dans la latéralisation au sein de réseaux gérés par les annuaires Active Directory, compo- 
sants critiques des systémes d'informations. Une fois les ressources d'intérét identifiées et exfiltrées, le chiffrement 
du parc informatique peut être lancé grâce au rançongiciel mis à disposition par les opérateurs du rançongiciel. 


En 2021, l'ANSSI a suivi en moyenne une quarantaine de rancongiciels différents. 


Ciblant l'ensemble des secteurs d'activité, cette menace reste majoritairement opportuniste et recherche des cibles 
peu sécurisées, disposant de ressources financiéres importantes et ne supportant pas de rupture d'activité. Il existe 
toutefois des subtilités dans le ciblage. Si certains groupes cherchent à maximiser leur profit en ciblant le plus de 
victimes possible, d'autres ne ciblent que de grandes sociétés particuliérement rentables dans le cadre d'opérations 
dites de Big Game Hunting. Ces variations se retrouvent également dans la rapidité de la chaine d'infection, de la 
phase de déploiement et de chiffrement. Certains groupes d'attaquants cybercriminels peuvent cependant rester 
plusieurs jours ou plusieurs semaines dans les réseaux de leurs victimes afin d'identifier les ressources clés, d'en 
étudier le contenu avant exfiltration et menace de publication pour exercer une pression supplémentaire lors de la 
phase d'extorsion et de négociation de la rançon. 
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Fig. 1.2. - Statistiques concernant les attaques par rançongiciels traitées par 'ANSSI en 2020 et 2021. 
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Fig. 1.3. - Répartition des entités victimes d'attaques par rancongiciel dans le cadre des incidents traités par 
l'ANSSI en 2020. 
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Fig. 1.4. — Répartition des entités victimes d'attaques par rancongiciel dans le cadre des incidents traités par 
l'ANSSI en 2021. 


La multiplication des méthodes d'extorsion et des moyens de chantage mis en ceuvre par les cybercriminels té- 
moigne également de leur professionnalisation. Ces derniers n'hésitent pas à associer à la menace de divulgation 
de données exfiltrées, du chantage au DDoS !, du harcèlement téléphonique ou encore des prises de contact avec 
des médias, des partenaires ou des clients de la victime, ce qui s'apparente à une certaine forme de « Name & 
Shame ». 


Le ciblage de certains groupes pourrait évoluer pour éviter la compromission d'infrastructures critiques ou d'insti- 
tutions publiques importantes. L'état d'urgence énergétique déclaré à la suite de la compromission de l'entreprise 
américaine Colonial Pipeline par le rançongiciel DarkSide [8] en mai 2021 et l'élévation du niveau d'alerte associé 


1. Principe consistant à menacer une victime de réaliser des attaques répétées par déni de service à l'encontre de ses services en ligne si elle 
ne paye pas la rançon. 
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aux rançongiciels à un niveau équivalent à celui du terrorisme aux États-Unis [9] en juin 2021 ont marqué un tour- 
nant dans la prise en compte de cette menace à l'échelle internationale. Les moyens mis en ceuvre par les forces 
de sécurité ont décuplé et les actions coup de poing se sont multipliées au cours de l'année 2021 : démantèlements 
de botnets, arrestations d'affiliés, récupérations de rançons, etc. Ainsi, PANSSI estime que seuls les groupes d'at- 
taquants en capacité de se mettre hors de portée des forces de sécurité, parfois gráce à la protection d'États, 
continueront à mener ce type d'attaques contre des organisations de dimension internationale. D'autres 
opérateurs de rancongiciels pourraient en réponse s'orienter vers du « simple » chantage à la divulgation 
d'informations exfiltrées. 


Toutefois, le réinvestissement des gains accumulés par les cybercriminels leur permettra trés probablement d'ac- 
quérir de nouvelles capacités, compétences et outils adaptés à d'autres environnements techniques sur lesquels les 
capacités d'investigation peuvent étre moins développées, comme Linux ou encore l'Internet des Objets (Internet 
of Things ou IoT). 


1.2. Des acteurs étatiques de moins en moins identifiables 


Depuis quelques années, l'ANSSI observe une convergence des méthodes et outils utilisés par plusieurs profils d'ac- 
teurs malveillants. Les acteurs étatiques utilisent désormais de maniére plus courante des outils non-marquants, 
tels que Cobalt Strike, largement utilisés dans l'écosystéme cybercriminel. Ce fut notamment le cas lors de la cam- 
pagne d'espionnage contre des entités françaises en 2021 et mettant en œuvre le mode opératoire APT31 [10]. Ce 
phénoméne n'est pas nécessairement organisé ou issu d'un rapprochement entre ces deux types d'acteurs bien que 
certains services de renseignements soient parfois accusés de liens avec des cybercriminels. 


Une autre tendance observée est le partage d'outils entre différents modes opératoires réputés liés à des États. C'est 
notamment le cas de ShadowPad ? qui est utilisé par plusieurs modes opératoires d'attaquants (MOA) , plus parti- 
culiérement APT41 et Tonto Team [11] . Cette utilisation partagée d'un méme outil, qui suggère une coopération 
entre différents MOA ou l'existence d'un fournisseur commun, complique nécessairement la caractérisation des 
activités et leur imputation à un MOA particulier. Cette utilisation partagée a également été observée avec PlugX 
[12]. 


Comme de nombreux cybercriminels, des attaquants de niveau étatique ont recours à la technique du living-off- 
the-land (LOTF) qui consiste à utiliser des outils déjà présents sur le réseau de la victime, notamment des outils 
d'administration comme PowerShell, pour arriver à leurs fins. Ainsi, ils sont plus difficiles à détecter car ils n'utilisent 
peu ou pas d'outils caractéristiques d'activités malveillantes. Outre une rationalisation des coûts, ce recours à des 
outils non-signants, partagés ou exploités depuis le réseau de la victime, permet également de nier de façon plausible 
toute implication en ne permettant pas une caractérisation précise des activités. C'est particuliérement le cas lors 
de l'emploi de rançongiciels par des modes opératoires étatiques à des fins lucratives et non de sabotage. À ce titre, 
plusieurs groupes d'attaquants supposément liés aux intérêts nord-coréens emploieraient des rançongiciels à des 
fins lucratives tandis que d'autres utiliseraient ce type de code afin d'effacer leurs traces ou dissimuler leur véritable 
objectif. 


En corollaire de cet emprunt de techniques cybercriminelles par des acteurs étatiques, les cybercriminels montent 
également en compétence atteignant un niveau de sophistication parfois comparable à celui d'attaquants de niveau 
étatique. Les gains financiers accumulés lors de précédentes opérations leur permettraient des opérations plus am- 
bitieuses et plus longues. Certains groupes cybercriminels sont également en mesure de découvrir et d'exploiter des 
vulnérabilités inconnues ou 0-Day, qui étaient historiquement l'apanage de groupes dits étatiques ou d'entreprises 
spécialisées [13]. 


Cette porosité entre différents profils d'attaquants peut également profiter à d'autres catégories d'attaquants, no- 
tamment les hacktivistes. Un premier cas d'utilisation d'un rangongiciel à des fins hacktivistes a été identifié en 
Inde en 2021 : le rancongiciel Sarbloh a été utilisé dans le contexte d'une protestation contre une réforme agraire 
du gouvernement [14]. 


2. Plateforme d'attaque modulaire permettant d'ouvrir et maintenir un accés distant à un systéme compromis. 
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1.3. Des capacités privées qui se développent rapidement 


La récente actualité liée aux révélations sur les cibles des clients du systéme Pegasus commercialisé par la société 
israélienne NSO Group a permis une réelle prise de conscience de la menace que peuvent représenter certaines 
entreprises privées. Pourtant le marché existe depuis plus d'une décennie et les entreprises qui y prennent part 
sont aussi bien implantées que discrètes sur leurs activités et leur clientèle. 


Plusieurs offres de services sont possibles : des outils clé en main, de l'expertise humaine ou encore des capacités 
telles que des méthodes d'exploitation de vulnérabilités 0-Day. Si ces services sont généralement réservés à des 
clients étatiques dans le cadre de la lutte contre le terrorisme et la criminalité organisée, les derniéres révélations 
suggèrent un dévoiement de l'utilisation de ces outils à des fins d'espionnage stratégique et politique à l'encontre 
d'autres cibles telles que des journalistes, des défenseurs des droits de l'homme et de hauts responsables [15] ainsi 
que d'entreprises détenant des données à caractére personnel comme des opérateurs de communications électro- 
niques ou des entreprises du secteur des transports. Ces services varient de l'utilisation d'applications vérolées en 
passant par celle d'outils d'attaques plus sophistiqués comme CobaltStrike, jusqu'à l'exploitation de vulnérabilités 
0-Day sans interaction nécessaire de la cible (0-Click). Enfin, le recours à une tierce partie, a fortiori privée, peut 
générer un certain sentiment d'impunité qui peut expliquer le ciblage décomplexé de certains commanditaires. 


Le développement et la multiplication de ce type d'entreprises augmentent également le risque qu'elles fassent elles- 
mêmes l'objet d'attaques informatiques amenant à la divulgation d'outils d'attaques potentiellement sophistiqués 
et à leur prolifération. Pour mémoire, ce fut notamment le cas de la société italienne Hacking Team victime d'une 
exfiltration de données et d'outils en 2015. Ces outils ont été exploités jusqu'en 2020 par des acteurs réputés liés à 
des États et des cybercriminels. 


Enfin, ces services parfois trés sophistiqués peuvent fournir à de nouveaux commanditaires (étatiques ou 
non) les moyens de mener des attaques informatiques sans avoir à développer leurs propres capacités et 
compétences. 


2. Des intentions d'espionnage et de sabotage peu 
visibles, mais toujours préoccupantes 


Si les attaques à finalité lucrative ont occupé le devant de la scène au cours des derniers mois, il est important 
de rappeler que l'espionnage reste la premiére finalité poursuivie avec les tentatives de déstabilisation et les 
actions de sabotage informatiques. 


2.1. Lespionnage reste la première finalité poursuivie, notamment en France 


La menace d'espionnage stratégique demeure une constante à prendre en compte; elle touche autant les acteurs 
institutionnels que privés. La France est particuliérement ciblée par cette menace comme en témoignent les cam- 
pagnes d'attaques mettant en œuvre les modes opératoires Sandworm [16], Nobelium [17] ou encore APT31 [10] 
en 2020-2021. En 2021, sur les 17 opérations de cyberdéfense traitées par l'ANSSI, 14 étaient liées à des opéra- 
tions d'espionnage informatique, impliquant pour 9 d'entre elles des modes opératoires réputés chinois. De 
même, sur 8 incidents majeurs, 5 concernent des MOA réputés chinois. 


Le détournement de cadres juridiques étrangers liés à la cybersécurité peut également faciliter ces actions d'es- 
pionnage visant à capter des données à caractère personnel des citoyens français et/ou des données appartenant 
à des entreprises frangaises implantées à l'étranger. Si les dispositifs législatifs relatifs à la cybersécurité se multi- 
plient dans le monde, plusieurs cas de détournement à des fins d'espionnage de dispositifs légaux sans lien avec la 
cybersécurité ont été rapportés ou soupçonnés. Ainsi certaines versions du logiciel GoldenTax, imposé en Chine, 
ont embarqué une porte dérobée permettant un accés furtif aux systémes d'information de plusieurs entreprises 
[18]. De plus, l'extraterritorialité de certaines législations étrangères en matière de sécurité nationale *, une notion 


3. ITAR, FISA ou le Cloud Act par exemple, ou encore loi sur le renseignement en république Populaire de Chine. 
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susceptible d'interprétation large, fait peser un risque supplémentaire sur la confidentialité des données et sur la 
disponibilité des infrastructures numériques. 


Cette menace de détournement est susceptible de se multiplier à mesure que les États s'emparent des probléma- 
tiques cyber au travers de moyens législatifs et réglementaires. 


2.2. Le ciblage d'infrastructures critiques à des fins de sabotage demeure une menace 
constante 


Des secteurs extrêmement critiques comme celui de l'eau en Israël et du transport aux États-Unis ont également 
fait l’objet d’attaques informatiques menées dans des objectifs de prépositionnement et sabotage. En avril 2020, 
plusieurs installations critiques de gestion de l'eau et des eaux usées en Israël ont ainsi été la cible d'attaques coor- 
données mais aux conséquences limitées, ultérieurement attribuées à l'Iran [19]. En février 2021, un avis de sécurité 
conjoint du CISA, FBI, ISAC et EPA [20] indiquait que des attaquants avaient réussi à accéder au systéme industriel 
d'une usine de traitement de l'eau potable en Floride. Ils auraient manipulé le niveau d'hydroxyde de sodium dans 
une potentielle tentative d'empoisonnement. Les attaquants ont notamment tiré parti de la faiblesse des mots de 
passe utilisés - les mêmes sur plusieurs interfaces et systèmes - et auraient exploité des vulnérabilités de Windows 
7: 


Le secteur du transport aérien a également fait l’objet d’attaques informatiques à des fins de prépositionnement. En 
août 2020, une alerte conjointe du CISA et du FBI indiquait que des actions de reconnaissance étaient menées par 
des acteurs soutenus par des États dans le secteur aérien. Ces actions menées dans un objectif de prépositionnement 
comprenaient notamment des recherches de vulnérabilité ainsi que des tentatives de récupération d'identifiants et 
mots de passe. 


L'attaque par sabotage informatique contre le port iranien de Shahid Rajaee de mai 2020, quant à elle, a été attribuée 
aux autorités israéliennes en représailles de l'attaque contre le systéme d'eau israélien en avril 2020 [19]. Cette 
attaque aurait stoppé les systémes de régulation des flux de cargos et marchandises, entrainant la congestion du 
trafic à l'entrée du port pendant plusieurs jours. 


Le ciblage d'infrastructures critiques par des acteurs de niveau étatique devrait continuer, plus particulière- 
ment dans le cadre de tensions géopolitiques exacerbées. Ces acteurs sont également susceptibles d'instru- 
mentaliser des groupes cybercriminels afin de maintenir une possibilité de déni plausible. 


2.3. Des attaques informatiques mises à profit d'opérations d'influence et de 
déstabilisation 


Les opérations d'influence et de déstabilisation ne se limitent plus à la simple création de contenus et à la recherche 
voire la compromission de relais pour en amplifier la diffusion. De plus en plus d'opérations informationnelles 
s'appuient sur des compromissions informatiques permettant d'exfiltrer des documents authentiques et d'obtenir 
des accés initiaux à des systémes d'informations. Ces documents et accés sont ultérieurement utilisés dans le cadre 
d'opérations, à l'image de la campagne Ghostwriter attribuée à la Russie par l'Allemagne [21] et l'Union européenne 
[22] et à la Biélorussie par l'éditeur de sécurité FireEye [23]. Les documents exfiltrés peuvent étre divulgués en 
l'état ou modifiés avant diffusion. Le phénomène n'est pas nouveau mais appelle à une vigilance particulière 
à l'approche d'échéances électorales majeures en France en 2022. 
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3. De nombreuses faiblesses exploitées 
3.1. Exploitation massive de vulnérabilités par différents profils d acteurs malveillants 


Encore trop d'organisations n'appliquent pas à temps les correctifs publiés par les éditeurs de logiciel et offrent aux 
attaquants un vecteur d'infection initiale relativement aisé à mettre en œuvre sur les systèmes exposés sur Internet. 
Dés la mise à disposition d'une méthode d'exploitation, en l'espace de quelques jours voire de quelques heures, 
l'exploitation de vulnérabilités peut être industrialisée notamment grâce à l'identification d'instances vulnérables 
par le biais de scans massifs et servir des finalités diverses, depuis l'espionnage informatique jusqu'à des attaques à 
finalité lucrative. C'est notamment le cas des vulnérabilités Exchange dont l'exploitation par de nombreux modes 
opératoires a fait l'objet de nombreuses publications. L'exploitation de vulnérabilités sur des équipements réseaux 
(notamment PulseSecure et Citrix) sont communes et permettent régulièrement des attaques par rançongiciel. 


Quelques vulnérabilités majeures (Exchange, Log4j, PulseSecure) ont particulièrement marqué l'année 2020-2021. 
Elles ont pleinement mobilisé l'ANSSI et ses bénéficiaires pour s'assurer de leur correction. I] est à noter que ces 
vulnérabilités majeures ont touché le monde entier. Elles se retrouvent ainsi dans le classement de l'agence homo- 
logue de l'ANSSI aux États-Unis, la CISA. Ces vulnérabilités continueront probablement d'étre exploitées dans les 
mois à venir. 


CVE les plus exploitées en 2020 


Incidents ANSSI Incidents CISA 

1 CVE-2019-19781 Citrix 1 CVE-2019-19781 Citrix 

2 CVE-2019-11510 Pulse 2 CVE-2019-11510 Pulse 

3 CVE-2018-13379 Fortinet 3 CVE-2018-13379 Fortinet 

- CVE-2020-1472 Netlogon 4 CVE-2020-5902 F5-BigIP 

5 CVE-2020-5902 F5-Big-Ip 5 CVE-2020-15505 MobileIron 

6 CVE-2020-18935 Telerik 6 CVE-2017-11882 Microsoft 

7 CVE-2020-15505 MobileIron 7 CVE-2019-11580 Atlassian 

8 CVE-2018-7600 Drupal 8 CVE-2018-7600 Drupal 

9 CVE-2017-11882 Microsoft 9 CVE-2019-18935 Telerik 
10 CVE-2019-0604 Microsoft 
11 CVE-2020-0787 Microsoft 
12 CVE-2020-1472 Netlogon 


Fig. 3.1. - Vulnérabilités les plus exploitées en 2020 dans le cadre des incidents traités par 'ANSSI et la CISA ^. 


4. Pour mémoire, la CISA (Cybersecurity and Infrastructure Security Agency) est l'agence fédérale américaine en charge de la coordination 
des actions de cyberdéfense des États-Unis. 
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CVE les plus exploitées en 2021 


Incidents ANSSI 


Incidents CISA 


1| CVE-2021-26855 1| CVE-2021-26855 
2| CVE-2021-26857| og ree 2| CVE-2021-26857 Microsoft 
3| CVE-2021-26858 3| CVE-2021-26858 Exchange 
4| CVE-2021-27065 4| CVE-2021-27065 
5| CVE-2018-13379 Fortinet 5| CVE-2021-22893 
6| CVE-2021-21985 VMWare 6| CVE-2021-22894 e 
7| CVE-2021-22893 Pulse 7| CVE-2021-22899 
8| CVE-2021-22900 
9| CVE-2021-27101 
10] CVE-2021-27102 
11| CVE-2021-27103 as 
12] CVE-2021-27104 
13| CVE-2021-21985 VMWare 
14] CVE-2018-13379 
15] CVE-2020-12812 Fortinet 
16|  CVE-2019-5591 


Fig. 3.2. - Vulnérabilités les plus exploitées en 2021 dans le cadre des incidents traités par l'ANSSI et la CISA. 


L'année 2020-2021 a également vu l'explosion du nombre de vulnérabilités 0-Day activement exploitées. Se- 
lon l'équipe d'analyse de la menace de Google Threat Analysis Group (TAG) en juillet 2021, 33 vulnérabilités 
de ce type avaient été exploitées avant la mise à disposition d'un correctif, contre 25 en 2020 et 20 en 2019. 
Plusieurs phénoménes expliquent cette explosion : l'amélioration de la détection et des efforts de partage 
d'information, mais aussi l'augmentation des capacités techniques des attaquants potentiellement soutenue 
parle développement de l'écosystéme des entreprises commercialisant ce type de vulnérabilités. Le détourne- 
ment de la législation chinoise sur les vulnérabilités, qui contraint les entreprises à signaler les vulnérabilités 
aux autorités chinoises, laisse craindre une identification facilitée de vulnérabilités 0-Day par des groupes 
d'attaquants chinois. 


Annual 0-days Detected In The Wild 


, m 


Year 


Fig. 3.3. - Évolution du nombre de vulnérabilités 0-Day exploitées entre 2014 et juillet 2021 selon Google TAG [24] 
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Si aucun produit logiciel ou matériel n'est imperméable aux vulnérabilités, des mesures existent pour 
compliquer et éviter leur exploitation à grande échelle. Outre des échanges plus nombreux au sein des 
communautés dédiées notamment lors de la divulgation d'une méthode d'exploitation, une application 
prioritaire des correctifs sur les systémes exposés sur Internet, ou à défaut la mise en oeuvre de mesures de 
contournement, doit étre envisagée. 


De maniére générale, minimiser les possibilités de rebond depuis un serveur hébergeant un applicatif vers 
un réseau interne passe par un filtrage sortant strict et par le maintien à jour de l'inventaire des comptes 
de service utilisés. Ces comptes doivent également minimiser leurs priviléges valables à l'échelle du réseau 
interne. Dans le cas d'un Active Directory, cela signifie que ces comptes ne doivent pas avoir de priviléges 
de type « Administrateur du domaine », mais étre limités : 

* idéalement à des privilèges d'utilisateurs standard; 

* de manière exceptionnelle à des privilèges d'administration locaux valables uniquement sur les ser- 

veurs hébergeant le produit. 


LANSSI vous invite à consulter les guides « Cartographie du système d'information » (https ://www.ssi. 
gouv.fr/administration/guide/cartographie-du-systeme-dinformation/), « Guide d’hygiène infor- 
matique » (https://www.ssi.gouv.fr/administration/guide/guide-dhygiene-informatique/) ainsi 
que l'analyse des « 10 vulnérabilités les plus observées par l'agence en 2021 » (https://www.cert.ssi. 
gouv.fr/actualite/CERTFR-2022-ACT-008/). 


8.2. L'exploitation à des fins malveillantes des nouveaux usages numériques comme le 
Cloud 


Amorcé depuis plusieurs années, le recours aux services de Cloud s'est particulièrement accéléré au cours des deux 
dernières années dans les secteurs public et privé, la crise sanitaire ayant agi comme un catalyseur. Cette généralisa- 
tion augmente mécaniquement le niveau de menace pesant sur ses utilisateurs. En effet, des défauts de sécurisation 
des données ou de conteneurs sont encore trop souvent rapportés. Entre octobre 2020 et février 2021, Palo Alto a 
ainsi détecté plus de 2100 instances cloud non sécurisées et aisément accessibles [25]. 


La puissance de calcul qu'offrent les instances cloud représente également une cible d'intérét pour des attaquants qui 
chercheraient à la détourner à leur profit, notamment pour du minage de cryptomonnaies. Le groupe cybercriminel 
« TeamTNT » s'est ainsi spécialisé dans le ciblage d'environnements cloud à des fins de cryptominage [26], tout 
comme le groupe « Rocke », réputé chinois, s'est spécialisé dans le cryptominage clandestin sur des serveurs cloud. 
Il exploite ainsi des vulnérabilités sur ces serveurs, qui permettent d'installer une porte dérobée à partir de laquelle 
les attaquants déploient des cryptomineurs, mettent fin à d'éventuels autres processus de cryptominage antérieurs 
et empéchent l'installation de nouveaux codes malveillants [27]. 


Le Cloud offre par ailleurs des moyens de propagation sans code malveillant au sein du système d'information ci- 
blé. En effet, de nombreux services de partage de documents et de travail collaboratif permettent une reconnexion 
facile des utilisateurs sur leurs services, aprés une authentification initiale. Le méme jeton d'authentification peut 
étre utilisé pour tous les matériels d'un utilisateur. Une menace grandissante concerne l'accés à ces jetons d'authen- 
tification, les attaquants tentant de récupérer ces derniers par ingénierie sociale. Une fois intercepté et copié par 
un attaquant, le jeton peut étre utilisé depuis un autre appareil sans étre détecté. Une autre technique de vol de 
jeton consiste à installer sur le systéme de fichier de la cible un jeton connecté à un compte contrólé par l'attaquant. 
Lorsque la victime procède à la synchronisation automatique de son dossier dans le Cloud, elle le fait alors avec le 
dossier de l'attaquant et non le sien. L'attaquant peut ainsi récupérer le jeton authentique et le réutiliser à distance 
et discrètement, tout en effacant les traces de sa compromission [28]. 
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LANSSI vous invite à consulter les guides « Recommandations relatives à l'authentification multifacteur et 
aux mots de passe » (https://www.ssi.gouv.fr/administration/guide/recommandations-relatives- 
a-lauthentification-multifacteur-et-aux-mots-de-passe/)et « Recommandations pour la sécurisa- 


tion de la mise en œuvre du protocole OpenID Connect » (https: //www.ssi.gouv.fr/administration/ 
guide/recommandations-pour-la-securisation-de-la-mise-en-oeuvre-du-protocole-openid- 
connect/). 


Le Cloud peut étre également source de contraintes et difficultés dont les utilisateurs ne sont pas forcément 
conscients. Le manque de maitrise de l'infrastructure et la forte dépendance au fournisseur de services, ainsi 
que des modalités de partage de responsabilité parfois opaques peuvent constituer un obstacle supplémen- 
taire dans l'éventualité d'une compromission. Les difficultés d'intervention et d'investigation, de détection 
et de remédiation doivent donc étre prises en compte. 


Bien évidemment, les principes et les bonnes pratiques de sécurité s'appliquent également aux technologies 
Cloud, notamment en ce qui concerne les mesures de cloisonnement, d'authentification, de journalisation, 


d'administration ou encore d'externalisation. Il est également rappelé la pertinence d'une démarche de mai- 
trise des risques (comme EBIOS RISK MANAGER) dans ce contexte. 


Enfin, les aspects juridiques et contractuels peuvent étre une source de menace supplémentaire. La localisation des 
données et l'extraterritorialité de certaines législations peuvent avoir des conséquences en matiére de protection 
des données et de souveraineté. La prépondérance d'acteurs étrangers supplémentaires sur le marché européen 
pourrait augmenter la menace juridique associée au Cloud. Face à ces risques, l'ANSSI a créé dès 2016 la qualification 
de sécurité « SecNumCloud » à destination des prestataires de Cloud. En octobre 2021, une version mise à jour 
de ce référentiel d'exigences a été publiée sur le site de l'ANSSI pour appel à commentaires. Le futur schéma de 
qualification SecNumCloud prévoit notamment des exigences organisationnelles et techniques visant à se prémunir 
des lois à portée extraterritoriale qui permettraient à un pays non européen d'accéder à tout ou partie des données 
et des traitements hébergés par un offreur. 


3.3. Des attaques indirectes via la supply chain de plus en plus courantes 


Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et des cybercriminels depuis au moins 
2016. Toutefois, l'ensemble de la communauté cyber observe une tendance largement à la hausse du recours à cette 
technique d'attaque indirecte. Selon l'ENISA, entre janvier 2020 et juillet 2021, 24 attaques sur la supply chain ont 
été rapportées et documentées [29]. Cette méthode présente un risque de propagation rapide d'une attaque qui 
peut parfois concerner un secteur d'activité entier ou une zone géographique précise notamment lorsque l'attaque 
cible une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d'activité particulier. 


2021 


= Compromission 
= Divulgation 
m Indisponibilité 


m Infrastructure 5 4. 


m Tentative de 
compromission et collecte 
d'informations 


Fig. 3.4. - Comparatif des types d'incidents traités par l'ANSSI et affectant les ESN en 2020 et 2021. 
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Cette opportunité continuera à se présenter notamment avec la numérisation croissante de la supply chain. Au 
niveau européen, la France plaide donc en faveur d'une imposition d'exigences de sécurité aux acteurs incontour- 
nables du numérique que sont les ESN dans le cadre de la révision de la directive NIS (Network and information 
Security) afin de limiter l'effet domino que pourrait entrainer leur compromission. 


3.4. Faible sécurisation des données entrainant des leaks massifs 


Ces divulgations peuvent étre classées en quatre grandes catégories : les divulgations de données dans le cadre d'at- 
taques par rancongiciel ; les divulgations motivées idéologiquement (hacktivisme) [30] ou dans le cadre d'opérations 
de déstabilisation [31]; les divulgations de données à des fins de revente; et enfin les divulgations par négligence. 


Ces divulgations peuvent en outre étre réutilisées pour mener des attaques via la supply chain et pour me- 
ner des campagnes de hameconnage. Elles peuvent conduire à une atteinte au secret des affaires voire à la 
sécurité nationale, lorsque des données d'entreprises (contrats, clients, etc.) ou classifiées sont publiées. Les 
conséquences en matiére de réputation sont souvent majeures. 


La valeur accordée aux données par les États, les entreprises privées, les acteurs cybercriminels ou toute autre caté- 
gorie d'acteur conduira les attaquants à poursuivre ces divulgations. Une veille régulière à l'image de celles opérées 
dans le cadre d'une démarche d'intelligence économique peut permettre d'identifier au plus tót ces divulgations. 
Des services gratuits en ligne (HaveIbeenPwned par exemple) permettent également de vérifier si une adresse cour- 
riel, un identifiant ou un mot de passe ont déjà fait l'objet d'une divulgation. Ces outils sont toutefois utilisés de 
manière réactive ou post mortem et doivent être complétés et précédés par une sensibilisation aux mots de passe 
forts, à l'usage systématique de gestionnaires de mot de passe et l'activation généralisée de procédés d'authentifi- 
cation à multiples facteurs. 


4. Conclusion 


Dans les prochains mois, de nouvelles opportunités se présenteront aux attaquants notamment en France. Les in- 
tentions associées seront hétérogènes, allant de la déstabilisation à l'influence en passant par l'espionnage et le gain 
financier. Si l'exploitation de vulnérabilités 0-day reste imprévisible, les élections législatives et présidentielles de 
2022 ainsi que la tenue de la coupe du monde rugby en 2023 et des Jeux olympiques en France en 2024 seront autant 
d'événements que les attaquants chercheront à exploiter. Les cibles potentielles sont multiples et présentent des 
niveaux de maturité en sécurité des systémes d'information trés variables - médias, partis politiques, organisations 
gouvernementales et publiques, think tanks, entreprises du numérique, opérateurs critiques, etc. - et appellent à 
une vigilance particulière de l'ensemble des parties prenantes. 
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